Especialistas descobriram que o GhostDNS, at sopistikado sistema ng sequestro de DNS para sa roubo de dados, está afetando mula sa 100 mil roteadores – 87% deles no Brasil. Sa pamamagitan ng Netlab, espesyal na empresa sa seguridad at impormasyon, o malware na kasama sa 70 modelo, kasama ang mga marka tulad ng TP-Link, D-Link, Intelbras, Multilaser at Huawei, at iba pa.
Gumamit ng pamamaraan ng phishing, o itakda ang tem como objetivo final descobrir credenciais de sites importantes, como bancos at grandes provedores. Magparehistro sa Netlab sa 360, que descobriu o golpe, URL brasileiras sa Netflix, Santander at Citibank foram algumas das invadidas pelo GhostDNS. A seguir, saiba tudo sobre o malware at aprenda como se proteger.
Ang Malware GhostDNS infesta ay mula sa 100 mil na mga ruta at pode roubar naging bancários — Larawan: Reprodução/Pond5
Ang malware ay nag-ulat sa Netlab sa 360 realiza at conhecido tulad ng DNSchange. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg. Com acesso às configurações do roteador, o malware altera o endeço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para sa IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática. Makipag-ugnayan sa mga versões ng DNSChanger, walang próprio na code ng Shell DNSChanger, Js DNSChanger at PyPhp DNSChanger. Ang PyPhp DNSChanger ay ang pangunahing modyul na nakalagay sa mga ito, tendo na implantado ang mga ito mula sa 100 mga serbisyo, at mula sa Google Cloud. Juntos, eles reúnem mais de 100 scripts de ataque, destinados at rotateadores nas redes de Internet at intranet.
Kung hindi man, wala kang ibang mga modyul estruturais sa GhostDNS, alem do DNSChanger. O primeiro ay o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem at outros sites com credenciais interessantes para os criminosos. Ang mga segundo ay ang sistema ng phishing sa web, ang pega os endereços de IP dos domínios roubados at faz a interação com as vítimas por meio de sites falsos. Por fim, há o sistema de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque ay que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, at pode redirectionar para sa IP de um site malicio. Bilang isang resulta, maaari mong gamitin ang pagkilala sa mga mudanças na interface sa pahina, ito ay nag-aambag sa isang acreditar kung saan ito ay nakapaligid sa seguro. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem at outras credenciais que podem ser usadas por cibercriminosos.
Walang período de 21 at 27 de set, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – o seja, tinatayang 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Ang mga rotateadores afetados foram infectados para sa iba't ibang mga modulo DNSChanger. Walang Shell DNSChanger, os seguintes models foram identificados:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Ang mga também ay nagrerekomenda ng mga orihinal o firmware na i-rote at i-verify ang mga configurações para sa DNS at binago.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problem em seus roteadores: “Information que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, correspondents Intelegence”. Em relação à segurança, at empresa orienta que os consumidores mantenham at rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
Isang Multilaser também afirma que não há relatos de problemas até agora. “Não houve contato de nenhum cliente por meio dos canais de attendimento que pudesse ser ligado ao ocorrido. A Multilaser orienta os consumidores a entrarem em contato com o suporte para mais informações sobre atualizações at configurações dos aparelhos da marca”.
Isang impormasyon sa D-Link na isang kahinaan at hindi naiulat. Segundo o comunicado enviado sa TechTudo, a empresa disponibilizou at solução aos usuários de seus roteadores. "Ang D-Link ay muling nag-import at nag-aambag sa firmware na ginagamit para sa mga gumagamit, na kung saan ay may potensyal na seguridad at seguridad ng mga kagamitan at mga koneksyon", kumpletuhin.
Ang isang TP-Link ay nagsimulang magkaroon ng problema at inirerekumenda na kung saan ginagamit ang mantenham o firmware na natutukoy at na-troquem at senha de seus dispositivos. Ang isang TP-Link ay may kaugnayan sa mga pesquisas referente para sa vulnerabilidade de seus roteadores, bilang isang form ng pag-iwas sa mga posibleng malware, isang TP-Link na nagrerekomenda sa mga sumusunod na hakbang: